Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Sicheres Front-End-Profil

February 16, 2021
Beitrag von:
C

Neben einem Standard-Front-End und einem Standard-Back-End-Profil ist ab Version 12.1 ein neues sicheres Standard-Front-End-Profil verfügbar. Die Einstellungen, die für eine A+ Bewertung (Stand Mai 2018) von Qualys SSL Labs erforderlich sind, sind in dieses Profil vorinstalliert. Früher mussten Sie jeden Parameter explizit festlegen, der für eine A+-Bewertung auf einem SSL-Front-End-Profil oder einem virtuellen SSL-Server erforderlich ist. Jetzt können Sie das ns_default_ssl_profile_secure_frontend-Profil an Ihren virtuellen SSL-Server binden und die erforderlichen Parameter werden automatisch auf Ihrem virtuellen SSL-Server festgelegt.

Hinweis:

Das sichere Front-End-Profil kann nicht bearbeitet werden.

Wenn Sie das Standardprofil aktivieren, wird das Standard-Front-End-Profil automatisch an alle virtuellen SSL-Server gebunden. Um eine A+-Bewertung zu erhalten, müssen Sie explizit das ns_default_ssl_profile_secure_frontend-Profil binden und auch ein SHA2/SHA256-Serverzertifikat an Ihren virtuellen SSL-Server binden.

Sichere Front-End-Profilparameter

Die Parameter mit ihren Standardeinstellungen sind hier aufgelistet:

SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Deny SSL Renegotiation: NONSECURE HSTS: ENABLED HSTS IncludeSubDomains: YES HSTS Max-Age: 15552000 Cipher Name: SECURE Priority :1

Alias für sichere Verschlüsselungsverfahren

Ein neuer gesicherter Chiffrealias wird hinzugefügt und an das sichere Front-End-Profil gebunden. Um die Chiffre aufzulisten, die Teil dieses Alias sind, geben Sie an der Eingabeaufforderung Folgendes ein: show chiffre SECURE

show cipher SECURE 1) Cipher Name: TLS1.2-ECDHE-RSA-AES256-GCM-SHA384 Priority : 1 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc030 2) Cipher Name: TLS1.2-ECDHE-RSA-AES128-GCM-SHA256 Priority : 2 Description: TLSv1.2 Kx=ECC-DHE Au=RSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02f 3) Cipher Name: TLS1.2-ECDHE-ECDSA-AES256-GCM-SHA384 Priority : 3 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(256) Mac=AEAD HexCode=0xc02c 4) Cipher Name: TLS1.2-ECDHE-ECDSA-AES128-GCM-SHA256 Priority : 4 Description: TLSv1.2 Kx=ECC-DHE Au=ECDSA Enc=AES-GCM(128) Mac=AEAD HexCode=0xc02b Done

Konfiguration

Gehen Sie wie folgt vor:

  1. Fügen Sie einen virtuellen Lastausgleichsserver vom Typ SSL hinzu.
  2. Binden Sie ein SHA2/SHA256-Zertifikat.
  3. Aktivieren Sie das Standardprofil.
  4. Binden Sie das sichere Front-End-Profil an den virtuellen SSL-Server.

Abrufen einer A+-Bewertung für einen virtuellen SSL-Server mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add lb vserver     bind ssl vserver  -certkeyName  set ssl parameter -defaultProfile ENABLED set ssl vserver  -sslProfile ns_default_ssl_profile_secure_frontend show ssl vserver []

Beispiel:

加磅vserver ssl-vsvr SSL 192.0.2.240 443绑定sl vserver ssl-vsvr -certkeyName letrsa set ssl parameter -defaultProfile ENABLED Save your configuration before enabling the Default profile. You cannot undo the changes. Are you sure you want to enable the Default profile? [Y/N]y set ssl vserver ssl-vsvr -sslProfile ns_default_ssl_profile_secure_frontend 
sh ssl vserver ssl-vsvr Advanced SSL configuration for VServer ssl-vsvr: Profile Name :ns_default_ssl_profile_secure_frontend 1) CertKey Name: letrsa Server Certificate Done 
sh ssl profile ns_default_ssl_profile_secure_frontend 1) Name: ns_default_ssl_profile_secure_frontend (Front-End) SSLv3: DISABLED TLSv1.0: DISABLED TLSv1.1: DISABLED TLSv1.2: ENABLED TLSv1.3: DISABLED Client Auth: DISABLED Use only bound CA certificates: DISABLED Strict CA checks: NO Session Reuse: ENABLED Timeout: 120 seconds DH: DISABLED DH Private-Key Exponent Size Limit: DISABLED Ephemeral RSA: ENABLED Refresh Count: 0 Deny SSL Renegotiation NONSECURE Non FIPS Ciphers: DISABLED Cipher Redirect: DISABLED SSL Redirect: DISABLED Send Close-Notify: YES Strict Sig-Digest Check: DISABLED Zero RTT Early Data: DISABLED DHE Key Exchange With PSK: NO Tickets Per Authentication Context: 1 Push Encryption Trigger: Always PUSH encryption trigger timeout: 1 ms SNI: DISABLED OCSP Stapling: DISABLED Strict Host Header check for SNI enabled SSL sessions: NO Push flag: 0x0 (Auto) SSL quantum size: 8 kB Encryption trigger timeout 100 mS Encryption trigger packet count: 45 Subject/Issuer Name Insertion Format: Unicode SSL Interception: DISABLED SSL Interception OCSP Check: ENABLED SSL Interception End to End Renegotiation: ENABLED SSL Interception Maximum Reuse Sessions per Server: 10 Session Ticket: DISABLED HSTS: ENABLED HSTS IncludeSubDomains: YES HSTS Max-Age: 15552000 ECC Curve: P_256, P_384, P_224, P_521 1) Cipher Name: SECURE Priority :1 Description: Predefined Cipher Alias 1) Vserver Name: v2 Done

Abrufen einer A+-Bewertung für einen virtuellen SSL-Server mit der GUI

  1. Navigieren Sie zuTraffic Management > Load Balancing > Virtuelle Server, und wählen Sie einen virtuellen SSL-Server aus.
  2. Klicken Sie unter Erweiterte Einstellungen auf SSL-Profil.
  3. Wählen Sie ns_default_ssl_profile_secure_frontend aus.
  4. Klicken Sie auf OK.
  5. Klicken Sie auf Fertig.
Sicheres Front-End-Profil
February 16, 2021
Beitrag von:
C
February 16, 2021
Beitrag von:
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999-Cloud Software Group, Inc. All rights reserved.